MH - Fotolia
Worauf bei den Standardvertragsklauseln (SCC) zu achten ist
Mit dem Ende von Privacy Shield setzen viele Nutzer von Cloud-Diensten aus den USA auf die Standardvertragsklauseln (SCC). Allein das Muster der EU reicht aber nicht.
Mit der Entscheidung (Rechtssache C-311/18) hat der Europäische Gerichtshof (EuGH) das sogenannte Privacy Shield zur Datenübermittlung in die USA für unwirksam erklärt. Privacy Shield kann damit keine Datenübermittlung in die USA rechtfertigen.
Als Konsequenz aus diesem Urteil wird zum Beispiel der Landesdatenschutzbeauftragte Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben.
Da dies nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden.
Wichtig ist dabei zuerst einmal die Tatsache, die auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber betont hat: „Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden.”
Es gibt also weiterhin mögliche rechtliche Grundlagen, die aber mit entsprechenden Datenschutzmaßnahmen begleitet werden müssen.
Basis für mögliche Datenübermittlung in die USA
Der Europäische Gerichtshof hat nicht nur das Privacy Shield zur Datenübermittlung in die USA für unwirksam erklärt. Gleichzeitig hat er die Gültigkeit des Beschlusses zu den Standardvertragsklauseln aufrechterhalten.
Der Landesdatenschutzbeauftragte von Hamburg hält dieses Vorgehen des EuGH für nicht konsequent: „Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten“, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
In jedem Fall hat das Instrument der Standardvertragsklauseln (SCC, Standard Contractual Clauses) als mögliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in den Drittstaat USA aber bis auf Weiteres Bestand. Allerdings nicht einfach so, durch Nutzung der Mustervorlagen der EU-Kommission.
Standardvertragsklauseln richtig nutzen
„Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer“, so der Bundesdatenschutzbeauftragte Professor Kelber. Es folgt aber ein wichtiger Hinweis: „Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden.“
Ein weiterer Punkt muss berücksichtigt werden, wenn Standardvertragsklauseln als Grundlage für die Datenübermittlung in Drittstaaten genutzt werden sollen: Die zusätzlichen Maßnahmen für die Sicherstellung eines angemessenen Datenschutzniveaus müssen auch für die Übermittlung in andere Länder vorhanden sein, wie zum Beispiel Indien, China oder Russland.
Für den Fall, dass man im Fall einer Übermittlung in die USA statt auf Privacy Shield nun auf die Standardvertragsklauseln setzen will, gilt somit:
Die Standardvertragsklauseln müssen gegebenenfalls durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist.
Für Datenübermittlungen in die USA bedeutet dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können. Dies ist aber eine Frage des Einzelfalles, wie der Landesdatenschutzbeauftragte Rheinland-Pfalz Prof. Kugelmann erklärt.
Unternehmen und Aufsichtsbehörden sind gefordert
Das Ende des Privacy Shield und die vom EuGH deutlich gemachten Anforderung an die Nutzung von Standardvertragsklauseln bedeuten nicht nur für Unternehmen, die zum Beispiel Cloud-Dienste in den USA nutzen, einige Anstrengungen. Der EuGH sieht auch Aufgaben bei den Aufsichtsbehörden für den Datenschutz.
Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll. Bei der Beantwortung dieser Frage sind nach dem Urteil des EuGHs nun auch die europäischen Datenschutzaufsichtsbehörden verstärkt in der Pflicht“, so der Thüringer Datenschutzbeauftragte.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten deshalb nun an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um die genannten, zusätzlichen Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Die Aufsichtsbehörden wollen so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen.
Man darf jetzt aber nicht einfach darauf warten: Der Europäische Datenschutzausschuss (EDSA) hat erklärt, dass es keine „Gnadenfrist“ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.
Der EDSA sagte außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft: „Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, muss jetzt seine Verträge mit den Dienstleistern prüfen.“
Für Privacy Shield muss Ersatz gefunden werden, und die Standardvertragsklauseln brauchen eine Ergänzung zur Gewährleistung eines angemessenen Datenschutzniveaus. Hier gibt es also einiges zu tun.